Services, Infrastruktur und Anwendungen

Als relevante Services für die Einhaltung von regulatorischen Vorschriften nennt COBIT 5 unter anderen Sicherheits-Management-Systeme sowie Test und Validierung. Relevante Anwendungen hingegen können GRC-Applikationen (Governance, Risk, Compliance) oder Reporting-Werkzeuge sein. Eine bewährte Praxis ist in diesem Zusammenhang die Definition von Dienstvereinbarungen, die vom Serviceanbieter erreicht werden müssen.

Mitarbeiter, Fähigkeiten und Kompetenzen

Die Compliance-Kernfähigkeiten umfassen ein weites Spektrum an Fähigkeiten wie Risikobewertung oder Wissen über das interne Kontrollsystem und den Inhalt von regulatorischen Vorschriften. Bewährt hat sich darüber hinaus, objektive Fähigkeitsanforderungen zu definieren.

Wichtige Elemente im Lebenszyklus bestehen darin, die dafür benötigten Fähigkeiten zu entwickeln (durch Schulungsmaßnahmen etc.) oder zu erwerben (beispielsweise durch Rekrutierung). Anschließend müssen sie über die verschiedenen Rollen innerhalb der Organisation zur Verfügung gestellt werden.